Serwis YouTube został zaatakowany za pomocą luki cross-site scripting. Polega one na zamieszczeniu w treści atakowanej strony niebezpiecznego kodu. W tym wypadku związane było to ze znacznikiem <script>, który bez zastrzeżeń był akceptowany przez YouTube. Pozwoliło to cyberprzestępcom na stosunkowo łatwe zaatakowanie serwisu. Jak informuje TheNextWeb, aby skorzystać z luki wystarczyło wprowadzić odpowiedni kod. Umieszczany był on w komentarzu pod wybranym klipem. Zaatakowano przede wszystkim klipy wideo dotyczące popularnego nastoletniego muzyka z Kanady, Justina Biebera. Oprócz obraźliwych treści czy nieprawdziwych informacji na YouTube pojawiały się również wyskakujące okna z przekierowaniem na strony pornograficzne.
Google zareagował po kilku godzinach od ataku. Przede wszystkim zablokowano możliwość dodawania komentarzy do wybranych klipów wideo. Dopiero później wyeliminowano lukę, która pozwalała cyberprzestępcom na ataki. Google poinformował również, że cyberprzestępcy nie uzyskali dostępu do kont użytkowników serwisu.
